Обнаружена вредоносная атака, которая понижает версию Windows – это позволяет обходить функции безопасности

2024-08-08 5488 комментарии
Обнаружена новая вредоносная атака, понижающая версию Windows. Разработан инструмент Windows Downdate, демонстрирующий возможность проведения атак на полностью обновленных версиях ОС, что позволяет обходить функции безопасности и повышать привилегии
Обновлено: 28.08.2024 Инструмент Windows Downdate, который позволяет отзывать исправления системы Windows, доступен на GitHub

Одним из важнейших советов по обеспечению безопасности электронных устройств является необходимость своевременного обновления.

Исследователь безопасности обнаружил новую вредоносную атаку, которая на постоянной основе понижает версию Windows. Информация об атаке доступна на сайте SafeBreach.

Microsoft выпускает ежемесячные обновления безопасности для Windows, а также внеплановые обновления безопасности для исправления активно эксплуатируемых уязвимостей.

Примечание: Понижение версии (или «Даунгрейд») означает удаление определенных обновлений с устройства. Это может касаться как удаления новых функциональных обновлений, так и удаления новой версии Windows.

Иногда возникают ситуации, когда нужно понизить версию ПК: например, когда в новой версии возникают проблемы, которые на данный момент невозможно исправить. Однако этот процесс также может использоваться для удаления определенных обновлений безопасности или защитных функций ОС.

Атака с понижением версии Windows

Исследователь в области безопасности Алон Левиев разработал инструмент Windows Downdate, чтобы продемонстрировать возможность проведения атак на понижение версии, даже на полностью обновленных версиях Windows.

Он описывает инструмент следующим образом:

Инструмент для захвата процесса обновления Windows позволяет создавать полностью неотслеживаемые, невидимые, постоянные и необратимые понижения версий на критических компонентах ОС, что позволяет повысить привилегии и обойти функции безопасности.

С помощью этого инструмента исследователь смог превратить полностью обновленные и защищенные устройства Windows в устаревшие, уязвимые к тысячам прошлых уязвимостей.

Левиев представил свой исследовательский проект на Black Hat USA 2024 и Def Con 32. Он успешно откатил версию ОС Windows во время демонстраций и подготовил системы таким образом, чтобы служба обновления Windows не находила новых обновлений.

Атака на понижение версии не отслеживается решениями для обнаружения и реагирования на угрозы, и невидима для компонентов системы. Другими словами, сама ОС выглядит обновленной, когда на самом деле это не так.

Понижение версии также является постоянным и необратимым. Это означает, что инструменты сканирования и восстановления не обнаруживают проблемы или не могут восстановить пониженную версию.

Технические подробности доступны в блоге SafeBreach.

Официальный ответ Microsoft

Microsoft была проинформирована об уязвимости заранее. Компания отслеживает следующие проблемы безопасности:

  • CVE-2024-21302 — Уязвимость повышения привилегий в безопасном режиме ядра Windows
  • CVE-2024-38202 — Уязвимость повышения привилегий в стеке обновлений Windows

Обе уязвимости получили рейтинг опасности «Важный».

Microsoft уже добавила обнаружение в Microsoft Defender для Endpoint. Клиенты будут получать оповещения о попытках эксплуатации.

Компания рекомендует несколько действий наряду с этим. Хотя они не «смягчают уязвимость», они «снижают риск эксплуатации».

Меры снижения рисков

  • Настройте параметры «Аудит доступа к объектам» для мониторинга попыток доступа к файлам, таких как создание дескрипторов, операции чтения/записи или изменения дескрипторов безопасности.
  • Аудит чувствительных привилегий, используемых для идентификации доступа, модификации или замены связанных с VBS файлов, может помочь выявить попытки эксплуатации этой уязвимости.
  • Защитите свой Azure-тенант, проверив администраторов и пользователей, отмеченных за рискованные входы, и смените их учетные данные.
  • Включение многофакторной аутентификации также поможет снизить риск компрометации учетных записей или утечки данных.

Атака требует прав администратора. Хорошей мерой предосторожности является использование обычной учетной записи пользователя для повседневных задач на ПК с Windows. Microsoft пообещала выпустить исправление данной проблемы в будущем.

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте